Требования по защите АСУ ТП
Проект
Требования к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
I. Общие положения
1. В настоящем документе устанавливаются требования к обеспечению защиты от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления производственными и технологическими процессами, автоматизированные системы управления), и обеспечению защиты самих автоматизированных систем управления от деструктивных информационных воздействий (в том компьютерных атак), направленных на нарушение функционирования автоматизированных систем управления производственными и технологическими процессами.
В документе не рассматриваются требования, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации, а также требования по обеспечению функциональной (технологической) безопасности автоматизированных систем управления производственным или технологическим процессами.
2. Настоящие Требования распространяются на:
- автоматизированные системы управления технологическими процессами, обеспечивающие контроль и автоматизированное управление технологическим оборудованием (исполнительными устройствами) и реализованными на нем технологическими процессами (в том числе системы диспетчерского управления и сбора данных, системы управления производственным оборудованием, системы управления станками с числовым программным управлением, программируемые логические контроллеры);
- автоматизированные системы управления производством, обеспечивающие синхронизацию, координацию, анализ и оптимизацию выпуска продукции в рамках промышленного производства;
- автоматизированные системы управления предприятием, обеспечивающие планирование и управление производством и операциями в рамках организации (предприятия).
3. Настоящие Требования предназначены для лиц, обеспечивающих задание требований к защите информации в автоматизированных системах управления (далее – заказчики), лиц, обеспечивающих эксплуатацию автоматизированных систем управления и владеющих ими на любом законном основании (далее – владельцы), лиц, осуществляющих поставку автоматизированных систем управления и (или) их компонентов (далее – поставщики оборудования), лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчики), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации для оценки соответствия автоматизированных систем управления настоящим Требованиям (далее – оценщики).
Лицо, предоставляющее владельцу вычислительные ресурсы (мощности) и (или) каналы связи для передачи (обработки) информации на основании заключенного договора (далее – поставщик телекоммуникационных услуг), обеспечивает защиту информации в соответствии с законодательством Российской Федерации. В договоре должны быть предусмотрены обязанность владельца и поставщика телекоммуникационных услуг обеспечивать защиту информации, обрабатываемой в автоматизированной системе управления производственными и технологическими процессами, в соответствии с настоящими Требованиями.
4. Настоящие Требования направлены на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления производственными и технологическими процессами, а также критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее – управляемые объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии и о промышленной безопасности опасных производственных объектов.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности и корпоративные структуры, созданные в соответствии с законодательством Российской Федерации, в пределах своих полномочий в соответствии с настоящими Требованиями могут устанавливать дополнительные требования к защите информации в автоматизированных системах управления производственными и технологическими процессами, находящихся в их ведении, с учетом особенностей соответствующих отраслей экономики (промышленности) и специфики управляемых объектов.
6. Защита информации в автоматизированных системах управления производственными и технологическими процессами обеспечивается путем выполнения заказчиком, владельцем, поставщиком оборудования, поставщиком телекоммуникационных услуг, разработчиком и оценщиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
7. Защита информации, содержащей сведения, составляющие государственную тайну, при ее обработке в автоматизированных системах управления производственными и технологическими процессами обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.
II. Требования к организации защиты информации в автоматизированных системах управления производственными и технологическими процессами
8. В автоматизированных системах управления производственными и технологическими процессами объектами защиты являются:
- информация (данные) о производственном или технологическом процессе, контролируемом, управляемом объекте (в том числе данные о параметрах (состоянии) управляемого процесса (объекта), входная (выходная) управляющая информация, команды управления, контрольно-измерительная информация);
- технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства);
- общесистемное, прикладное, специальное программное обеспечение;
- средства защиты информации.
9. Для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами владельцем объекта назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
10. Для проведения работ по защите информации в ходе создания и эксплуатации автоматизированной системы управления производственными и технологическими процессами заказчиком и владельцем в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, № 19, ст. 2716; № 30, ст. 4590; № 43, ст. 5971; № 48, ст. 6728; 2012, № 26, ст. 3446; № 31, ст. 4322; 2013, № 9, ст. 874).
11. Для обеспечения защиты информации в автоматизированных системах управления производственными и технологическими процессами применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
12. Защита информации в автоматизированных системах управления производственными и технологическими процессами является составной частью работ по созданию и эксплуатации автоматизированной системы управления и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в автоматизированных системах управления, в рамках системы (подсистемы) защиты автоматизированной системы управления (далее – система защиты автоматизированной системы управления).
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты автоматизированной системы управления, должны быть направлены на обеспечение штатного режима функционирования автоматизированной системы управления производственным или технологическим процессами и контролируемого (управляемого) объекта (процесса), в том числе путем исключения:
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации);
- неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации).
Организационные и технические меры защиты информации должны быть согласованы с мерами по обеспечению функциональной (технологической) безопасности автоматизированной системы управления производственным или технологическим процессами и контролируемого (управляемого) объекта (процесса).
13. Для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами проводятся следующие мероприятия:
- формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами;
- разработка системы защиты автоматизированной системы управления;
- внедрение системы защиты автоматизированной системы управления;
- аттестация автоматизированной системы управления производственными и технологическими процессами по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами;
- обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами.
Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами
14. Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами осуществляется заказчиком.
Формирование требований к защите информации в автоматизированной системе управления производственными и технологическими процессами осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и стандартами организаций и в том числе включает:
- принятие решения о необходимости защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- классификацию автоматизированной системы управления производственными и технологическими процессами по требованиям защиты информации (далее – классификация автоматизированной системы управления);
- определение угроз безопасности информации, реализация которых может привести к нарушению целостности, доступности или конфиденциальности информации и (или) безопасного функционирования автоматизированной системы управления производственными и технологическими процессами, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты автоматизированной системы управления.
14.1. При принятии решения о необходимости защиты информации в автоматизированной системе управления производственными и технологическими процессами осуществляется:
- анализ целей создания автоматизированной системы управления производственными и технологическими процессами и задач, решаемых этой автоматизированной системой;
- определение информации, нарушение целостности, доступности или конфиденциальности которой может привести к нарушению функционирования автоматизированной системы управления производственными и технологическими процессами;
- анализ нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления производственными и технологическими процессами;
- принятие решения о необходимости создания системы защиты автоматизированной системы управления, а также определение целей и задач защиты информации, основных этапов создания системы защиты автоматизированной системы управления и функций по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами заказчика, владельца, поставщика телекоммуникационных услуг и поставщика оборудования.
14.2. Классификация автоматизированной системы управления производственными и технологическими процессами проводится в зависимости от уровня значимости автоматизированной системы управления и обрабатываемой в ней информации и масштаба автоматизированной системы управления производственными или технологическими процессами.
Устанавливаются четыре класса защищенности автоматизированной системы управления производственными и технологическими процессами, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности автоматизированной системы управления определяется в соответствии с приложением № 1 к настоящим Требованиям.
Требование к классу защищенности включается в техническое задание на создание в автоматизированной системы управления производственными и технологическими процессами и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления подлежит пересмотру только в случае ее модернизации, в результате которой изменились уровень значимости автоматизированной системы управления и обрабатываемой в ней информации или масштаб (распределенность) автоматизированной системы управления производственными или технологическими процессами Результаты классификации автоматизированной системы управления производственными и технологическими процессами оформляются актом классификации.
14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей автоматизированной системе управления, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (целостности, доступности, конфиденциальности) и безопасного функционирования автоматизированной системы управления.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики автоматизированной системы управления производственными и технологическими процессами, включающие структуру и состав автоматизированной системы управления, физические, логические, функциональные и технологические взаимосвязи между сегментами в автоматизированной системе управления, с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы обработки информации в автоматизированной системе управления, а также иные характеристики автоматизированной системы управления, применяемые информационные технологии и особенности ее функционирования.
По результатам определения угроз безопасности информации могут разрабатываться рекомендации по корректировке структурно-функциональных характеристик автоматизированной системы управления производственными и технологическими процессами, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описания автоматизированной системы управления производственными и технологическими процессами и угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (целостности, доступности, конфиденциальности) и (или) безопасного функционирования автоматизированной системы управления производственными и технологическими процессами. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818).
14.4. Требования к системе защиты автоматизированной системы управления производственными и технологическими процессами определяются в зависимости от класса защищенности автоматизированной системы управления и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты автоматизированной системы управления производственными и технологическими процессами включаются в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации, и должны в том числе содержать:
- цель и задачи обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- класс защищенности автоматизированной системы управления;
- перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать автоматизированная система управления производственными и технологическими процессами;
- объекты защиты автоматизированной системы управления производственными и технологическими процессами;
- требования к мерам и средствам защиты информации, применяемым в автоматизированной системе управления производственными и технологическими процессами;
- требования к защите информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщиков телекоммуникационных услуг;
- требования к защите информации при поставке автоматизированных систем управления и (или) их компонентов поставщиками оборудования.
При определении требований к системе защиты автоматизированной системы управления учитываются положения политик обеспечения информационной безопасности заказчика в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности владельца и поставщика телекоммуникационных услуг в части, не противоречащей политикам заказчика.
Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами
15. Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами организуется заказчиком и осуществляется разработчиком.
Разработка системы защиты автоматизированной системы управления производственными и технологическими процессами осуществляется в соответствии с техническим заданием на создание автоматизированной системы управления производственными и технологическими процессами и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее – ГОСТ 34.601), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации и в том числе включает:
- проектирование системы защиты автоматизированной системы управления;
- разработку эксплуатационной документации на систему защиты автоматизированной системы управления;
- макетирование и тестирование системы защиты автоматизированной системы управления.
Система защиты автоматизированной системы управления производственными и технологическими процессами не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию.
При разработке системы защиты автоматизированной системы управления производственными и технологическими процессами учитывается ее информационное взаимодействие с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщика телекоммуникационных услуг.
15.1. При проектировании системы защиты автоматизированной системы управления производственными и технологическими процессами:
- определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, *объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в автоматизированной системе управления производственными и технологическими процессами;
- выбираются меры защиты информации, подлежащие реализации в рамках системы защиты автоматизированной системы управления;
- определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определяется структура системы защиты автоматизированной системы управления производственными и технологическими процессами, включая состав (количество) и места размещения ее элементов;
- осуществляется выбор средств защиты информации с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности автоматизированной системы управления;
- определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей автоматизированной системы управления, приводящих к возникновению угроз безопасности информации;
- определяются меры защиты информации при информационном взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, в том числе с информационно-телекоммуникационными сетями поставщика телекоммуникационных услуг.
Результаты проектирования системы защиты автоматизированной системы управления отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на автоматизированную систему управления производственными и технологическим процессами (систему защиты автоматизированной системы управления), разрабатываемых с учетом ГОСТ 34.201 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» (далее – ГОСТ 34.201) и стандартов организаций.
При отсутствии необходимых средств защиты информации, прошедших оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании, организуется разработка (доработка) средств защиты информации и их оценка в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по автоматизированной системе управления производственными и технологическими процессами и (или) ее системе защиты с учетом функциональных возможностей имеющихся средств защиты информации.
15.2. Разработка эксплуатационной документации на систему защиты автоматизированной системы управления осуществляется в соответствии с техническим заданием на создание автоматизированной системы управления производственными и технологическими процессами и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.
Эксплуатационная документация на систему защиты автоматизированной системы управления разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201, ГОСТ Р 51624 и стандартам организации и должна в том числе содержать описание:
- структуры системы защиты автоматизированной системы управления;
- состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
- правил эксплуатации системы защиты автоматизированной системы управления.
15.3. При макетировании и тестировании макета системы защиты автоматизированной системы управления в том числе осуществляются:
- построение (моделирование) макета системы защиты автоматизированной системы управления, соответствующего реальной системе защиты автоматизированной системы управления или ее отдельным компонентам;
- проверка работоспособности автоматизированной системы управления с реализованной системой защитой и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами автоматизированной системы управления производственными и технологическим процессами;
- проверка выполнения выбранными средствами защиты информации требований к системе защиты автоматизированной системы управления;
- корректировка проектных решений, разработанных при создании автоматизированной системы управления и (или) ее системы защиты;
- корректировка проектной и эксплуатационной документации на систему защиты автоматизированной системы управления.
Макетирование системы защиты автоматизированной системы управления и ее тестирование может проводиться в том числе с использованием средств и методов моделирования автоматизированных систем управления производственными и технологическими процессами и технологий виртуализации.
Внедрение системы защиты информации автоматизированной системы управления производственными и технологическими процессами
16. Внедрение системы защиты автоматизированной системы управления организуется заказчиком и осуществляется разработчиком. Внедрение системы защиты автоматизированной системы управления осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации автоматизированной системы управления и в том числе включает:
- установку и настройку средств защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- разработку документов, определяющих правила и процедуры, реализуемые владельцем для обеспечения защиты информации в автоматизированной системе управления производственными и технологическими процессами в ходе ее эксплуатации (далее – организационно-распорядительные документы по защите информации);
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты автоматизированной системы управления;
- опытную эксплуатацию системы защиты автоматизированной системы управления;
- анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами и принятие мер по их устранению;
- приемочные испытания системы защиты автоматизированной системы управления.
16.1. Установка и настройка средств защиты информации в автоматизированной системе управления производственными и технологическими процессами должна проводиться в соответствии с эксплуатационной документацией на систему защиты автоматизированной системе управления и документацией на средства защиты информации.
16.2. Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры (политики):
- планирования мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- обеспечения действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами;
- информирования и обучения пользователей автоматизированной системы управления производственными и технологическими процессами;
- анализа угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и рисков от их реализации;
- управления (администрирования) системой защиты информации автоматизированной системы управления;
- выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования автоматизированной системы управления производственными и технологическими процессами и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирования на них;
- управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
- контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами;
- защиты информации при выводе из эксплуатации автоматизированной системы управления производственными и технологическими процессами.
Организационно-распорядительные документы по защите информации могут разрабатываться в виде отдельных документов владельца (положений, инструкций, правил, стандартов организаций или иных документов) или в рамках общей политики обеспечения информационной безопасности в случае ее разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
16.3. При внедрении организационных мер защиты информации осуществляются:
- реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, *состава и конфигурации технических средств и программного обеспечения;
- проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов автоматизированной системы управления производственными и технологическими процессами по реализации организационных мер защиты информации;
- отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
16.4. Предварительные испытания системы защиты автоматизированной системы управления проводятся с учетом ГОСТ 34.603 «Информационная технология. Виды испытаний автоматизированных систем» (далее – ГОСТ 34.603) и стандартов организаций и включают проверку работоспособности системы защиты автоматизированной системы управления, а также принятие решения о возможности опытной эксплуатации системы защиты автоматизированной системы управления.
16.5. Опытная эксплуатация системы защиты автоматизированной системы управления производственными и технологическими процессами проводится с учетом ГОСТ 34.603 и стандартов организаций и включает проверку функционирования системы защиты автоматизированной системы управления, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов к эксплуатации системы защиты автоматизированной системы управления.
16.6. Анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления производственными и технологическими процессами за счет реализации угроз безопасности информации.
Анализ уязвимостей автоматизированной системы управления производственными и технологическими процессами включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления производственными и технологическими процессами.
При анализе уязвимостей автоматизированной системы управления производственными и технологическими процессами проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.
По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления производственными и технологическими процессами на проникновение. Указанное тестирование проводится, как правило, на макете автоматизированной системы управления.
В случае выявления уязвимостей в автоматизированной системе управления производственными и технологическими процессами, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.
16.7. Приемочные испытания системы защиты автоматизированной системы управления производственными и технологическими процессами проводятся с учетом ГОСТ 34.603 и стандартов организаций и включают проверку выполнения требований к системе защиты автоматизированной системы управления в соответствии с техническим заданием на создание автоматизированной системы управления и (или) техническим заданием (частным техническим заданием) на создание системы защиты автоматизированной системы управления.
Аттестация автоматизированной системы управления производственными и технологическими процессами и ввод ее в действие
17. Аттестация автоматизированной системы управления производственными и технологическими процессами организуется заказчиком или владельцем, проводиться оценщиком и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие автоматизированной системы управления производственными и технологическими процессами настоящим Требованиям.
17.1. В качестве исходных данных, необходимых для аттестации автоматизированной системы управления производственными и технологическими процессами, используются модель угроз безопасности информации, акт классификации автоматизированной системы управления, техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, проектная и эксплуатационная документация на систему защиты автоматизированной системы управления, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей автоматизированной системы управления, материалы предварительных и приемочных испытаний системы защиты автоматизированной системы управления, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями и требованиями стандартов организаций.
17.2. Аттестация автоматизированной системы управления производственными и технологическими процессами проводится в соответствии с программой и методиками аттестационных испытаний до ввода в эксплуатацию автоматизированной системы управления. Для проведения аттестации автоматизированной системы управления производственными и технологическими процессами применяются национальные стандарты, стандарты организаций, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение о соответствии автоматизированной системы управления производственными и технологическими процессами требованиям к защите информации и аттестат соответствия в случае положительных результатов аттестационных испытаний.
17.3. Допускается аттестация автоматизированной системы управления производственными и технологическими процессами на основе результатов аттестационных испытаний макета данной автоматизированной системы управления.
В этом случае распространение аттестата соответствия на вводимую в эксплуатацию автоматизированную систему управления производственными и технологическими процессами допускается при условии соответствия макета автоматизированной системы управления, прошедшего аттестационные испытания, вводимой в эксплуатацию автоматизированной системе управления производственными и технологическими процессами.
Особенности аттестации автоматизированной системы управления производственными и технологическими процессами на основе результатов аттестационных испытаний ее макета, а также условия и порядок распространения аттестата соответствия на другие автоматизированные системы управления, соответствующие макету автоматизированной системы управления, определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
17.4. Повторная аттестация автоматизированной системы управления производственными и технологическими процессами осуществляется только в случае модернизации автоматизированной системы управления производственными и технологическими процессами, в результате которой изменился ее класс защищенности.
При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты автоматизированной системы управления, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия. В случае невозможности проведения дополнительных аттестационных испытаний на действующей автоматизированной системе управления производственными и технологическими процессами аттестационные испытания проводятся на макете автоматизированной системы управления.
17.5. Ввод в действие автоматизированной системы управления производственными и технологическими процессами осуществляется с учетом ГОСТ 34.601, стандартами организации и при наличии аттестата соответствия.
Обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами
18. Обеспечение защиты информации в ходе эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами осуществляется владельцем в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и в том числе включает следующие процедуры:
- планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- обеспечение действий в нештатных (непредвиденных) ситуациях в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами;
- информирование и обучение пользователей автоматизированной системы управления производственными и технологическими процессами;
- анализ угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и рисков от их реализации;
- управление (администрирование) системой защиты автоматизированной системы управления;
- выявление инцидентов в ходе эксплуатации автоматизированной системы управления производственными и технологическими процессами и реагирование на них;
- управление конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
- контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами.
18.1. В ходе планирование мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами осуществляются:
- определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления производственными и технологическими процессами;
- разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления, в том числе предусматривающего мероприятия по защите информации в ходе создания, аттестации, эксплуатации и вывода из эксплуатации автоматизированных систем управления, сроки выполнения мероприятий и ответственных за их выполнение;
- контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом.
18.2. В ходе обеспечения действий в нештатных (непредвиденных) ситуациях при эксплуатации автоматизированной системы управления производственными и технологическими процессами осуществляются:
- планирование мероприятий по обеспечению защиты информации в автоматизированных системах управления в случае возникновения нештатных (непредвиденных) ситуаций;
- обучение и отработка действий пользователей по обеспечению защиты информации в автоматизированных системах управления в случае возникновения нештатных (непредвиденных) ситуаций;
- создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций;
- резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций;
- обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций.
18.3. В ходе информирования и обучения пользователей автоматизированной системы управления производственными и технологическими процессами осуществляется:
- периодическое информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации;
- периодическое обучение пользователей правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, включая проведение практических занятий с пользователей.
18.4. В ходе анализа угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами и возможных рисков от их реализации осуществляется:
- периодический анализ изменения угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами, возникающих в ходе ее эксплуатации;
- оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами (оценка риска).
18.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:
- определение лиц, ответственных за управление (администрирования) системой защиты автоматизированной системы управления;
- заведение и удаление учетных записей пользователей, управление полномочиями пользователей автоматизированной системы управления и поддержание правил разграничения доступа в автоматизированной системе управления;
- управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, управление учетными записями пользователей, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
- установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению (управление обновлениями программного обеспечения);
- централизованное управление системой защиты автоматизированной системы управления (при необходимости);
- регистрация и анализ событий в автоматизированной системе управления производственными и технологическими процессами, связанных с защитой информации (далее - события безопасности);
- сопровождение функционирования системы защиты автоматизированной системы управления в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации;
18.6. В ходе выявления инцидентов и реагирования на них осуществляются:
- определение лиц, ответственных за выявление инцидентов и реагирование на них;
- обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в автоматизированной системе управления производственными и технологическими процессами пользователями и администраторами;
- анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
- планирование и принятие мер по устранению инцидентов, в том числе по восстановлению автоматизированной системы управления производственными и технологическими процессами в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
- планирование и принятие мер по предотвращению повторного возникновения инцидентов.
18.7. В ходе управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты осуществляются:
- поддержание конфигурации автоматизированной системы управления производственными и технологическими процессами и ее системы защиты (структуры системы защиты автоматизированной системы управления, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);
- определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию автоматизированной системы управления производственными и технологическими процессами и ее системы защиты;
управление изменениями базовой конфигурации автоматизированной системы управления производственными и технологическими процессами и ее системы защиты, в том числе определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты, санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты, контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
- анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления производственными и технологическими процессами;
- определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;
- внесение информации (данных) об изменениях в базовой конфигурации автоматизированной системы управления и ее системы защиты в эксплуатационную документацию на систему защиты информации автоматизированной системы управления производственными и технологическими процессами.
Управления конфигурацией аттестованной автоматизированной системы управления производственными и технологическими процессами и ее системы защиты осуществляется в соответствии с организационно-распорядительными документами по защите информации в рамках действующего аттестата соответствия и не требует повторной аттестации автоматизированной системы управления.
18.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами, осуществляются:
- контроль за событиями безопасности и действиями пользователей в автоматизированной системе управления производственными и технологическими процессами;
- контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления производственными и технологическими процессами;
- анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;
- документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами;
- принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления производственными и технологическими процессами о доработке (модернизации) системы защиты автоматизированной системе управления и проведении дополнительных аттестационных испытаний.
Обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами
19. Обеспечение защиты информации при выводе из эксплуатации аттестованной автоматизированной системы управления производственными и технологическими процессами осуществляется владельцем в соответствии с эксплуатационной документацией на систему защиты автоматизированной системы управления и организационно-распорядительными документами по защите информации и в том числе включает:
- архивирование информации, содержащейся в автоматизированной системе управления производственными и технологическими процессами;
- уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
19.1. Архивирование информации, содержащейся в автоматизированной системе управления производственными и технологическими процессами, должно осуществляться при необходимости дальнейшего использования информации в деятельности владельца.
19.2. Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю автоматизированной системе управления или в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
III. Требования к мерам защиты информации в автоматизированной системе управления производственными и технологическими процессами
20. Организационные и технические меры защиты информации, реализуемые в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик автоматизированной системы управления должны обеспечивать:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность автоматизированной системы управления и информации;
- доступность технических средств и информации;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных.
- безопасную разработку программного обеспечения разработчиком;
- управление обновлениями программного обеспечения;
- планирование мероприятий по обеспечению защиты информации;
- обеспечение действий в нештатных (непредвиденных) ситуациях;
- информирование и обучение пользователей;
- анализ угроз безопасности информации и рисков от их реализации;
- выявление инцидентов и реагирование на них (управление инцидентами);
- управление конфигурацией информационной системы и ее системы защиты.
Состав мер защиты информации и их базовые наборы для соответствующих классов защищенности автоматизированных систем управления производственными и технологическими процессами приведены в приложении № 2 к настоящим Требованиям.
В случае, если принятые в автоматизированной системе управления производственными и технологическими процессами меры по обеспечению функциональной (технологической) безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации меры защиты информации для соответствующих угроз безопасности информации могут не применяться. При этом в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование достаточности применения мер по обеспечению функциональной (технологической) безопасности для блокирования (нейтрализации) угроз безопасности информации.
20.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
20.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в автоматизированной системе управления правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.
20.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в автоматизированной системе управления программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в автоматизированной системе управления программного обеспечения.
20.4. Меры по защите машинных носителей информации (средства обработки (хранения) информации, съемные машинные носители информации) должны исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них информации, а также несанкционированное использование съемных машинных носителей информации.
20.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в автоматизированной системе управления, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
20.6. Меры по антивирусной защите должны обеспечивать обнаружение в автоматизированной системе управления компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
20.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в автоматизированной системе управления, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации, а также реагирование на эти действия.
20.8. Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности автоматизированной системы управления путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.
20.9. Меры по обеспечению целостности автоматизированной системы управления и информации должны обеспечивать обнаружение фактов несанкционированного нарушения целостности автоматизированной системы управления и содержащейся в ней данных, а также возможность восстановления автоматизированной системы управления.
20.10. Меры по обеспечению доступности технических средств и информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу к техническим средствам (исполнительным устройствам) и информации, а также доступность технических средств (исполнительных устройствам) для входной (выходной) управляющей информации, команд управления, контрольно-измерительной информации в штатном режиме функционирования информационной системы.
20.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
20.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование автоматизированной системы управления (далее – средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.
20.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии автоматизированной системы управления или ее отдельных сегментов с иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.
20.14. Меры по обеспечению безопасной разработки программного обеспечения разработчиком должны обеспечивать выявление, анализ и устранение уязвимостей программного обеспечения на всех этапах (стадиях) его разработки, а также контроль принимаемых мер по выявлению, анализу и устранению уязвимостей со стороны заказчика и (или) владельца автоматизированной системы управления.
20.15. Меры по управление обновлениями программного обеспечения должны обеспечивать безопасное получение, проверку и установку обновлений программного обеспечения на компонентах автоматизированной системы управления технологическими процессами.
20.16. Меры по планированию мероприятий по обеспечению защиты информации должны обеспечивать разработку, утверждение и актуализацию (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления, а также контроль его выполнения.
20.17. Меры по обеспечению действий в нештатных (непредвиденных) ситуациях должны обеспечивать планирование мероприятий, обучение и отработку действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций, а также резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций и обеспечение возможности ее восстановления.
20.18. Меры по информированию и обучению пользователей должны обеспечивать периодическое информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации, а также теоретическое и практическое обучение (в том числе проведение тренировок) по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации.
20.19. Меры по анализу угроз безопасности информации и рисков от их реализации должны обеспечивать периодический анализ изменения угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами, возникающих в ходе ее эксплуатации, а также периодическую оценку (переоценку) прогнозируемых последствий от реализации угроз безопасности информации в автоматизированной системе управления производственными и технологическими процессами.
20.20. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в автоматизированной системе управления, а также принятие мер по устранению и предупреждению инцидентов.
20.21. Меры по управлению конфигурацией автоматизированной системы управления и ее системы защиты информации должны обеспечивать управление изменениями конфигурации автоматизированной системы управления и ее системы защиты информации, анализ потенциального воздействия планируемых изменений на обеспечение безопасности информации, а также документирование этих изменений.
21. Выбор мер защиты информации для их реализации в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты включает:
- определение базового набора мер защиты информации для установленного класса защищенности автоматизированной системы управления в соответствии с базовыми наборами мер защиты информации, приведенными в приложении № 2 к настоящим Требованиям;
- адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам автоматизированной системы управления, информационным технологиям, особенностям функционирования автоматизированной системы управления (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в автоматизированной системе управления, или структурно-функциональными характеристиками, не свойственными автоматизированной системе управления);
- уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в приложении № 2 к настоящим Требованиям, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в модель угроз безопасности информации;
- дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами, локальными правовыми актами, национальными стандартами и стандартами организаций в области защиты информации, в том числе в области обеспечения функциональной (технологической) безопасности автоматизированной системы управления производственными и технологическими процессами.
Для выбора мер защиты информации для соответствующего класса защищенности автоматизированной системы управления производственными и технологическими процессами применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
22. В автоматизированной системе управления производственными и технологическими процессами соответствующего класса защищенности в рамках ее системы защиты должны быть реализованы меры защиты информации, выбранные в соответствии с пунктом 21 настоящих Требований и обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации.
При этом в автоматизированной системе управления производственными и технологическими процессами должен быть, как минимум, реализован адаптированный базовый набор мер защиты информации, соответствующий установленному классу защищенности автоматизированной системы управления.
23. При невозможности реализации в автоматизированной системе управления в рамках ее системы защиты отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
В этом случае в ходе разработки системы защиты автоматизированной системы управления должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
В качестве компенсирующих мер могут рассматриваться меры по обеспечению функциональной (технологической) безопасности автоматизированной системы управления производственными и технологическими процессами.
24. Меры защиты информации выбираются и реализуются в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации и облачных вычислений.
25. Выбранные и реализованные в автоматизированной системе управления производственными и технологическими процессами в рамках ее системы защиты меры защиты информации должны обеспечивать:
- в автоматизированных системах управления 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом;
- в автоматизированных системах управления 2 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего;
- в автоматизированных системах управления 3 и 4 классов защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом.
Потенциал нарушителя определяется в ходе оценки его возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 настоящих Требований.
Владельцем может быть принято решение о применении в автоматизированной системе управления производственными и технологическими процессами соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителем с более высоким потенциалом.
26. Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.
При использовании в автоматизированных системах управления производственными и технологическими процессами сертифицированных по требованиям безопасности информации средств защиты информации применяются:
- а) в автоматизированных системах управления производственными и технологическими процессами 1 и 2 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
- межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- б) в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 5 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- межсетевые экраны не ниже 3 класса в случае взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и не ниже 4 класса в случае отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
- в) в автоматизированной системе управления производственными и технологическими процессами 4 класса защищенности:
- средства вычислительной техники не ниже 5 класса;
- системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
- межсетевые экраны не ниже 4 класса.
В автоматизированной системе управления производственными и технологическими процессами 1 и 2 классов защищенности применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
27. При использовании в автоматизированных системах управления производственными и технологическими процессами новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры защиты информации, должны разрабатываться компенсирующие меры в соответствии с пунктом 23 настоящих Требований.
Приложение № 1
к Требованиям к защите информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды
Определение класса защищенности автоматизированной системы управления производственными и технологическими процессами
1. Класс защищенности автоматизированной системы управления производственными и технологическими процессами (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)) определяется в зависимости от уровня значимости автоматизированной системы управления и обрабатываемой в ней информации (УЗ) и масштаба (распределенности) автоматизированной системы управления производственными и технологическими процессами.
Класс защищенности (К) = [уровень значимости автоматизированной системы управления (информации); масштаб автоматизированной системы управления].
2. Уровень значимости автоматизированной системы управления и обрабатываемой в ней информации (УЗ) определяется степенью ущерба от нарушения целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение) обрабатываемой информации.
УЗ = (целостность, степень ущерба) (доступность, степень ущерба) [(конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или владельцем экспертным или иным методом и может быть:
- высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности) и (или) функционирования автоматизированной системы управления возможны существенные негативные последствия;
- средним, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности) и (или) функционирования автоматизированной системы управления возможны умеренные негативные последствия;
- низким, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности) и (или) функционирования автоматизированной системы управления возможны незначительные негативные последствия.
В случае, если для информации, обрабатываемой в автоматизированной системе управление, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = (целостность, степень ущерба) (доступность, степень ущерба) [(конфиденциальность, не применяется)].
Степень негативных последствий определяются в соответствии с таблицей:
| Негативные последствия | Характеристика негативных последствий |
|---|---|
| Существенные |
|
| Умеренные |
|
| Незначительные |
|
Автоматизированная система управления и обрабатываемая в ней информации имеют высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба. Автоматизированная система управления и обрабатываемая в ней информации имеют средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба. Автоматизированная система управления и обрабатываемая в ней информации имеют низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
Автоматизированная система управления и обрабатываемая в ней информации имеют минимальный уровень значимости (УЗ 4), если заказчиком и (или) владельцем степень ущерба от нарушения свойств безопасности информации (целостности, доступности, конфиденциальности) не может быть определена в соответствии с настоящим приложением, но при этом потенциально возможно нарушение функционирования управляемого (контролируемого) производственного или технологического процессов (объекта).
При обработке в автоматизированной системе управления двух и более видов информации уровень значимости автоматизированной системы управления и обрабатываемой в ней информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации.
3. Автоматизированная система управления имеет федеральный масштаб (распределенность), если она функционирует (обеспечивает контроль и управление производственными или технологическими процессами) на объектах, расположенных на всей территории Российской Федерации (или в пределах федерального округа) и имеет сегменты на объектах, расположенных в субъектах Российской Федерации, муниципальных образованиях и (или) организациях (представительствах, филиалах, подведомственных и иных организациях).
Автоматизированная система управления имеет региональный масштаб (распределенность), если она функционирует (обеспечивает контроль и управление производственными или технологическими процессами) на объектах, расположенных в пределах территории субъекта Российской Федерации или муниципального образования и имеет сегменты на объектах в одном или нескольких муниципальных образованиях и (или) организациях (представительствах, филиалах, подведомственных и иных организациях).
Автоматизированная система управления имеет объектовый масштаб (распределенность), если она функционирует на объектах одной организации и не имеет сегменты на объектах в представительствах, филиалах, подведомственных и иных организациях.
4. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
| Уровень значимости информации | Масштаб информационной системы | ||
|---|---|---|---|
| Федеральный | Региональный | Объектовый | |
| УЗ 1 | К1 | К1 | К1 |
| УЗ 2 | К1 | К1 | К2 |
| УЗ 3 | К2 | К2 | К3 |
| УЗ 4 | К3 | К3 | К4 |
Приложение № 2
к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления производственными и технологическими процессами
| Условное обозначение и номер меры | Меры защиты информации в автоматизированных системах управления производственными и технологическими процессами | Классы защищенности | |||
|---|---|---|---|---|---|
| 4 | 3 | 2 | 1 | ||
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками владельца | + | + | + | + |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | ||
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками владельца (внешних пользователей) | + | + | + | + |
| ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | ||||
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + | + | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами автоматизированной системы управления, а также между автоматизированными системами управления | + | + | ||
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование автоматизированной системы управления | + | + | + | |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование автоматизированной системы управления | + | + | + | |
| УПД.6 | Ограничение неуспешных попыток входа в автоматизированную систему управления (доступа к системе) | + | + | + | + |
| УПД.7 | Предупреждение пользователя при его входе в автоматизированную систему управления о том, что в ней реализованы меры защиты информации, и о необходимости соблюдения им установленных владельцем правил обработки информации | ||||
| УПД.8 | Оповещение пользователя после успешного входа в автоматизированную систему управления о его предыдущем входе в автоматизированную систему управления | ||||
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя автоматизированной системы управления | + | |||
| УПД.10 | Блокирование сеанса доступа в автоматизированную систему управления после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | + |
| УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | ||||
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | + |
| УПД.14 | Регламентация и контроль использования в автоматизированной системе управления технологий беспроводного доступа | + | + | + | + |
| УПД.15 | Регламентация и контроль использования в автоматизированной системе управления мобильных технических средств | + | + | + | + |
| УПД.16 | Управление взаимодействием с автоматизированными (информационными) системами сторонних организаций (внешние системы) | + | + | + | + |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | ||
| III. Ограничение программной среды (ОПС) | |||||
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | + | |||
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | ||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | + |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | ||||
| IV. Защита машинных носителей информации (ЗНИ) | |||||
| ЗНИ.1 | Учет машинных носителей информации | + | + | + | + |
| ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | + | + |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | ||||
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных автоматизированных системах управления | ||||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | ||
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | ||||
| ЗНИ.7 | Контроль подключения машинных носителей информации | ||||
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | + | + | + | + |
| V. Регистрация событий безопасности (РСБ) | |||||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | + | + | + | + |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + | + |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | + |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в автоматизированной системе управления | + | + | + | + |
| РСБ.7 | Защита информации о событиях безопасности | + | + | + | + |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей | ||||
| VI. Антивирусная защита (АВЗ) | |||||
| АВЗ.1 | Реализация антивирусной защиты | + | + | + | + |
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + |
| VII. Обнаружение вторжений (СОВ) | |||||
| СОВ.1 | Обнаружение вторжений | + | + | ||
| СОВ.2 | Обновление базы решающих правил | + | + | ||
| VIII. Контроль (анализ) защищенности информации (АНЗ) | |||||
| АНЗ.1 | Выявление, анализ уязвимостей и оперативное устранение вновь выявленных уязвимостей | + | + | + | |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | + | + | + | |
| IX. Обеспечение целостности (ОЦЛ) | |||||
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | ||
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных | ||||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + | + |
| ОЦЛ.4 | Обнаружение и реагирование на поступление в автоматизированную систему управления незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к ее функционированию (защита от спама) | + | + | ||
| ОЦЛ.5 | Контроль содержания информации, передаваемой из автоматизированной системы управления (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации | ||||
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в автоматизированную систему управления | + | |||
| ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в автоматизированную систему управления | ||||
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | ||||
| X. Обеспечение доступности (ОДТ) | |||||
| ОДТ.1 | Использование отказоустойчивых технических средств | + | |||
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | |||
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + | ||
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | + | + | ||
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | + | + | ||
| ОДТ.6 | Кластеризация автоматизированной системы управления и (или) ее сегментов | ||||
| ОДТ.7 | Контроль состояния и качества предоставления поставщиком телекоммуникационных услуг вычислительных ресурсов (мощностей), в том числе по передаче информации | + | + | ||
| XI. Защита среды виртуализации (ЗСВ) | |||||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + | ||
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | ||||
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | ||
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | ||
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | ||
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | + | + | ||
| XII. Защита технических средств (ЗТС) | |||||
| ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | ||||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | + | + | + | + |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования автоматизированной системы управления и помещения и сооружения, в которых они установлены | + | + | + | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | + | |||
| XIII. Защита автоматизированной системы управления, ее средств, систем связи и передачи данных (ЗИС) | |||||
| ЗИС.1 | Разделение функций по управлению (администрированию) автоматизированной системы управления, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций автоматизированной системы управления | + | + | ||
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | ||||
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | ||||
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + | + | + |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными автоматизированными (информационными) системами | ||||
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | + | + | ||
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | + | + | ||
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | + | + | ||
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | ||||
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | ||
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | ||
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | ||
| ЗИС.14 | Использование устройств терминального доступа для обработки информации | ||||
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | + | + | ||
| ЗИС.16 | Выявление, анализ и блокирование скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | ||||
| ЗИС.17 | Разбиение автоматизированной системы управления на сегменты (сегментирование) и обеспечение защиты периметров сегментов | + | + | ||
| ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | ||||
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | ||||
| ЗИС.20 | Защита беспроводных соединений, применяемых в автоматизированной системы управления | + | + | + | |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы | + | |||
| ЗИС.22 | Защита автоматизированной системы управления от угроз безопасности информации, направленных на отказ в обслуживании | + | + | ||
| ЗИС.23 | Защита периметра (физических и (или) логических границ) автоматизированной системы управления при ее взаимодействии с иными автоматизированными (информационными) системами и информационно-телекоммуникационными сетями | + | + | ||
| ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного владельцем временного интервала неактивности сетевого соединения | + | + | ||
| ЗИС.25 | Использование в автоматизированной системе управления различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) | ||||
| ЗИС.26 | Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем | ||||
| ЗИС.27 | Создание (эмуляция) ложных компонентов автоматизированной системы управления, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации | ||||
| ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик автоматизированной системы управления или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках | ||||
| ЗИС.29 | Перевод автоматизированной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) | ||||
| ЗИС.30 | Защита мобильных технических средств, применяемых в автоматизированной системе | + | + | + | |
| XIV. Обеспечение безопасной разработки программного обеспечения разработчиком (ОБР) | |||||
| ОБР.1 | Анализ уязвимостей и угроз безопасности информации в ходе разработки программного обеспечения | + | + | + | + |
| ОБР.2 | Статистический анализ кода программного обеспечения в ходе разработки программного обеспечения | + | + | ||
| ОБР.3 | Ручной анализ кода программного обеспечения в ходе разработки программного обеспечения | + | + | ||
| ОБР.4 | Тестирование на проникновение в ходе разработки программного обеспечения | + | + | ||
| ОБР.5 | Динамический анализ кода программного обеспечения в ходе разработки программного обеспечения | + | + | ||
| ОБР.6 | Документирование процедур обеспечение безопасной разработки программного обеспечения разработчиком и представление их заказчику (владельцу) | + | + | + | + |
| XV. Управление обновлениями программного обеспечения (ОПО) | |||||
| ОПО.1 | Разработка процедур получения, проверки и установки обновлений программного обеспечения | + | + | + | + |
| ОПО.2 | Получение обновлений программного обеспечения от разработчика или уполномоченного им лица | + | + | + | + |
| ОПО.3 | Тестирование обновлений программного обеспечения до его установки на компонентах автоматизированной системы управления | + | + | + | + |
| ОПО.4 | Централизованная установка обновлений программного обеспечения | + | + | + | + |
| XVI. Планирование мероприятий по обеспечению защиты информации (ПЛН) | |||||
| ПЛН.1 | Определение лиц, ответственных за планирование и контроль мероприятий по обеспечению защиты информации в автоматизированной системе управления | + | + | + | + |
| ПЛН.2 | Разработка, утверждение и актуализация (обновление) плана мероприятий по обеспечению защиты информации в автоматизированных системах управления | + | + | + | + |
| ПЛН.3 | Контроль выполнения мероприятий по обеспечению защиты информации в автоматизированных системах управления, предусмотренных утвержденным планом | + | + | + | + |
| XVII. Обеспечение действий в нештатных (непредвиденных) ситуациях (ДНС) | |||||
| ДНС.1 | Разработка плана действий в случае возникновения нештатных (непредвиденных) ситуаций | + | + | + | + |
| ДНС.2 | Обучение и отработка действий пользователей в случае возникновения нештатных (непредвиденных) ситуаций | + | + | + | + |
| ДНС.3 | Создание альтернативных мест хранения и обработки информации в случае возникновения нештатных (непредвиденных) ситуаций | + | + | ||
| ДНС.4 | Резервирование программного обеспечения, технических средств, каналов передачи данных автоматизированных систем управления в случае возникновения нештатных (непредвиденных) ситуаций | + | + | ||
| ДНС.5 | Обеспечение возможности восстановления автоматизированных систем управления и (или) ее компонент в случае возникновения нештатных (непредвиденных) ситуаций | + | + | + | + |
| XVIII. Информирование и обучение пользователей (ИПО) | |||||
| ИПО.1 | Информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации | + | + | + | + |
| ИПО.2 | Обучение пользователей правилам эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации | + | + | + | |
| ИПО.3 | Проведение практических занятий с пользователями по эксплуатации системы защиты автоматизированной системы управления и отдельных средств защиты информации | + | + | ||
| XIX. Анализ угроз безопасности информации и рисков от их реализации (УБИ) | |||||
| УБИ.1 | Анализ изменения угроз безопасности информации, возникающих в ходе ее эксплуатации | + | + | + | + |
| УБИ.2 | Оценка последствий от реализации угроз безопасности информации (оценка риска) | + | + | + | + |
| XX. Выявление инцидентов и реагирование на них (ИНЦ) | |||||
| ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | + | + | ||
| ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | + | + | ||
| ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов | + | + | ||
| ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | + | + | ||
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | ||
| ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | + | + | ||
| XXI. Управление конфигурацией автоматизированной системы управления и ее системы защиты (УКФ) | |||||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию автоматизированной системы управления и ее системы защиты | + | + | + | |
| УКФ.2 | Управление изменениями конфигурации автоматизированной системы управления и ее системы защиты | + | + | + | |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации автоматизированной системы управления и системы защиты на обеспечение защиты персональных данных и согласование изменений в конфигурации автоматизированной системы управления с должностным лицом (работником), ответственным за обеспечение безопасности автоматизированной системы управления | + | + | + | |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации автоматизированной системы управления и ее системы защиты | + | + | + | |
«+» - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности автоматизированной системы управления. Меры защиты информации, не обозначенные знаком «+», применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в автоматизированной системы управления соответствующего класса защищенности.